Rechtsirrtümer im Datenschutzrecht - Das müsen Sie wissen

Kaum ein Rechtsgebiet hat in den letzten Jahren für so viel Unsicherheit, hitzige Diskussionen und Irrtümer gesorgt wie das Datenschutzrecht. Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 kursieren unzählige Mythen rund um Einwilligungen, Datenverarbeitung, Löschungspflichten oder das angebliche Verbot, eine Geburtstagsliste im Büro zu führen. Die Reaktionen reichen von völliger Panik bis zur völligen Ignoranz – beides ist gefährlich.

Viele der kursierenden „Datenschutz-Tipps“ stammen nicht aus Gesetzestexten, sondern aus Halbwissen, schlecht verstandenen Presseartikeln oder pauschalen Empfehlungen in sozialen Netzwerken. Oftmals halten sich Irrtümer hartnäckiger als die Realität – nicht selten mit rechtlichen, finanziellen oder sogar rufschädigenden Konsequenzen. Die Folge: Unternehmen verzichten aus Angst auf sinnvolle Services, Privatpersonen befürchten Bußgelder für alltägliche Handlungen und Behörden handeln aus übertriebener Vorsicht oder gefährlicher Unkenntnis.

Dieser Beitrag möchte mit diesen Missverständnissen aufräumen. Wir beleuchten die häufigsten Rechtsirrtümer im Datenschutzrecht, erklären, warum sie falsch sind, was tatsächlich gilt – und untermauern das mit anschaulichen Praxisbeispielen sowie aktueller Rechtsprechung.

Denn nur wer die rechtlichen Grundlagen richtig einordnet, kann den Datenschutz im Alltag sinnvoll und rechtssicher gestalten – ohne übertriebene Vorsicht, aber auch nicht leichtsinnig.

Für wen ist dieser Beitrag gedacht?

Ob Unternehmer, Angestellter, Datenschutzbeauftragter oder einfach interessierter Bürger: Der Beitrag richtet sich an alle, die mit personenbezogenen Daten umgehen – also an uns alle. Denn Datenschutz ist längst keine rein juristische Spezialmaterie mehr, sondern betrifft jede E-Mail, jedes Formular und jede Kundenliste.

Und gerade weil die DSGVO in ihrer Sprache oft abstrakt und komplex ist, ist es umso wichtiger, sie verständlich und praxisnah zu erklären – und mit gefährlichem Halbwissen aufzuräumen.

Übersicht:

1. Irrtum: „Die DSGVO gilt nur für große Unternehmen“
2. Irrtum: „Ich verarbeite keine personenbezogenen Daten“
3. Irrtum: „Ich brauche keine Einwilligung, solange ich nichts Böses mit den Daten mache“
4. Irrtum: „Ein Impressum ersetzt die Datenschutzerklärung“
5. Irrtum: „Für meine Mitarbeiterdaten gilt die DSGVO nicht“
6. Irrtum: „Die Löschung von Daten muss sofort und immer erfolgen“
7. Irrtum: „Ich bin Auftragsverarbeiter, also habe ich nichts zu befürchten“
8. Irrtum: „Wenn ich Daten anonymisiere, bin ich immer auf der sicheren Seite“
9. Irrtum: „Ich muss nur handeln, wenn sich jemand beschwert“
10. Irrtum: „Ein Datenschutzverstoß ist nur schlimm, wenn Daten verloren gehen“
11. Irrtum: „Google Fonts & Cookies sind kein Problem, solange ich einen Banner einblende“
12. Irrtum: „Ich darf keine Daten mehr verarbeiten, sobald die betroffene Person widerspricht“
13. Irrtum: „Der Datenschutzbeauftragte schützt mich vor Bußgeldern“
14. Irrtum: „Ein Bußgeld droht nur bei Absicht“
15. Irrtum: „Datenschutz ist reine Bürokratie und hemmt nur“
Fazit: Was Unternehmen und Privatpersonen wirklich wissen sollten

1. Irrtum: „Die DSGVO gilt nur für große Unternehmen“

Warum dieser Irrtum gefährlich ist

Ein besonders hartnäckiger Irrglaube: Die Datenschutz-Grundverordnung (DSGVO) sei ein bürokratisches Monster, das nur große Konzerne mit Millionenumsatz betrifft – kleine Betriebe, Einzelunternehmer oder Vereine seien von den Regelungen nicht betroffen. Leider ist genau das falsch – und gefährlich. Denn die DSGVO gilt nicht abhängig von der Unternehmensgröße, sondern davon, ob personenbezogene Daten verarbeitet werden. Und das ist bei fast jedem Unternehmen, jedem Verein und vielen Privatpersonen der Fall.

Was das Gesetz wirklich sagt

Der Anwendungsbereich der DSGVO ist in den Artikeln 2 und 3 klar definiert:

• Art. 2 Abs. 1 DSGVO: „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“
• Art. 3 Abs. 1 DSGVO: „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union.“

Das heißt im Klartext: Sobald personenbezogene Daten verarbeitet werden – sei es digital oder strukturiert auf Papier – greift die DSGVO. Völlig unabhängig davon, ob es sich um ein Großunternehmen, einen Handwerksbetrieb oder einen Blogger mit Online-Shop handelt.

Beispiel aus der Praxis: Der kleine Online-Shop

Stellen wir uns einen typischen Fall vor: Eine selbstständige Designerin betreibt einen kleinen Online-Shop, in dem sie handgemachte Produkte verkauft. Sie verarbeitet die Namen, E-Mail-Adressen, Telefonnummern und Adressen ihrer Kundinnen und Kunden, um Bestellungen auszuführen und Rechnungen zu schreiben. Sie verwendet dazu ein Shopsystem mit Zahlungsdienstleister und Newsletter-Tool.

Obwohl es sich um ein Ein-Personen-Unternehmen handelt, ist hier eine ganze Menge datenschutzrechtlich relevant:

• Bestelldaten = personenbezogene Daten
• Zahlungsdienstleister = Auftragsverarbeiter
• Newsletter-Versand = Einwilligungspflicht
• Kundenverwaltung = Dokumentationspflichten

Die DSGVO ist also vollumfänglich anwendbar – auch wenn das Unternehmen klein ist und keinen Datenschutzbeauftragten benötigt (§ 38 BDSG kann Ausnahmen regeln, ändert aber nichts an der grundsätzlichen Geltung der DSGVO).

Was Aufsichtsbehörden dazu sagen

Die Datenschutzaufsichtsbehörden betonen regelmäßig, dass die DSGVO branchen- und größenunabhängig gilt. Auch Kleinstunternehmen und Freiberufler sind verpflichtet, datenschutzkonform zu handeln – etwa durch:

• Erstellung einer Datenschutzerklärung
• Führen eines Verzeichnisses von Verarbeitungstätigkeiten
• Prüfung, ob Einwilligungen korrekt eingeholt wurden
• Sicherstellung von Datensicherheit und Löschfristen

Hinweis: Die Behörden sind sich jedoch bewusst, dass kleine Unternehmen nicht dieselben Kapazitäten haben wie Großkonzerne. In der Praxis bedeutet das oft: Ermessensspielräume bei Bußgeldern, aber keine Freistellung von der Pflicht.

Fazit zu Irrtum 1

Egal ob Friseurbetrieb, Hundeschule, Fotograf oder Kleinunternehmer: Die DSGVO gilt auch für Sie. Entscheidend ist nicht die Größe Ihres Unternehmens, sondern ob und wie Sie personenbezogene Daten verarbeiten. Wer sich auf den Mythos verlässt, er sei „zu klein für Datenschutz“, riskiert empfindliche Konsequenzen – denn Unwissen schützt bekanntlich nicht vor Strafe.

nach oben

2. Irrtum: „Ich verarbeite keine personenbezogenen Daten“

Warum dieser Irrtum weit verbreitet ist

Viele Unternehmer und sogar Behörden gehen davon aus, dass sie gar keine personenbezogenen Daten verarbeiten – schließlich haben sie „nur“ eine Website, beantworten E-Mails oder speichern keine sensiblen Informationen wie Gesundheitsdaten oder Kontodaten.

Doch genau hier liegt der Trugschluss: Die DSGVO erfasst nicht nur offensichtliche Fälle wie Patientenakten oder Personalausweise, sondern jeden Bezug zu einer identifizierten oder identifizierbaren Person. Und das geht oft schneller, als man denkt.

Was sind personenbezogene Daten?

Die DSGVO selbst gibt in Art. 4 Nr. 1 eine klare Definition:

„‚Personenbezogene Daten‘ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen.“

Dazu zählen etwa:

• Name, Anschrift, Telefonnummer
• E-Mail-Adresse (auch Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!, wenn Rückschluss auf Einzelunternehmer möglich)
• Kfz-Kennzeichen
• Kundennummern
• IP-Adressen (unter bestimmten Voraussetzungen)
• Standortdaten, biometrische Merkmale
• Online-Kennungen (z. B. Cookie-IDs)

Die Schwelle zur Personenbeziehbarkeit ist niedrig. Bereits wenn theoretisch ein Rückschluss auf eine Person möglich ist – etwa durch Kombination mit anderen Informationen – spricht man von einem personenbezogenen Datum.

Beispiele aus dem Alltag

Viele unterschätzen, wie häufig sie mit personenbezogenen Daten arbeiten. Hier ein paar typische Beispiele:

• E-Mail-Kontakt über Website: Sobald jemand über das Kontaktformular schreibt – Name, E-Mail und Nachricht sind personenbezogene Daten.
• IP-Adressen in Server-Logs: Auch wenn Sie mit der IP „nichts machen“ – sie wird verarbeitet, gespeichert und ist damit potenziell personenbezogen.
• Kundenanfragen per Telefon: Ein handschriftlich notierter Name mit Telefonnummer ist ein personenbezogenes Datum.
• Kfz-Kennzeichen auf Parkplatzfotos oder in internen Listen
• Nutzer-Tracking mit Tools wie Google Analytics oder Matomo

Rechtsprechung: IP-Adressen sind personenbezogene Daten

Ein besonders bedeutendes Urteil kommt vom Europäischen Gerichtshof (EuGH):

EuGH, Urteil vom 19.10.2016 – Rs. C-582/14 (Breyer)
Der EuGH entschied, dass dynamische IP-Adressen personenbezogene Daten sind, wenn der Websitebetreiber über rechtliche Mittel verfügt, die betroffene Person identifizieren zu lassen, z. B. über den Internetanbieter. Selbst wenn der Betreiber alleine den Bezug nicht herstellen kann, reicht die theoretische Möglichkeit in Verbindung mit Dritten.

Dieses Urteil hat weitreichende Folgen – denn nahezu jede Website speichert in ihren Logfiles temporär IP-Adressen. Wer also glaubt, er verarbeite keine personenbezogenen Daten, weil keine Namen oder Adressen gespeichert werden, irrt sich gewaltig.

Fazit zu Irrtum 2

Die Verarbeitung personenbezogener Daten findet fast immer statt – auch wenn keine sensiblen Daten im Spiel sind. Schon ein einfacher Website-Besuch oder eine E-Mail kann ausreichen, um die DSGVO ins Spiel zu bringen.

Wer diesen Irrtum ignoriert, läuft Gefahr, gesetzliche Pflichten wie Informationspflichten, Datensicherheit oder Löschfristen zu verletzen – oft ohne es zu merken. Die Folge können Beschwerden, behördliche Prüfungen und Bußgelder sein.

Tipp: Prüfen Sie alle digitalen und analogen Prozesse darauf, ob dort Informationen verarbeitet werden, die sich (direkt oder indirekt) auf eine Person beziehen. In den meisten Fällen lautet die Antwort: Ja.

nach oben

3. Irrtum: „Ich brauche keine Einwilligung, solange ich nichts Böses mit den Daten mache“

Warum dieser Irrtum verbreitet ist

Dieser Irrglaube hält sich hartnäckig: Wer Daten "nur nett" verwendet – also zum Beispiel für Kundeninformationen, Geburtstagsgrüße oder unverbindliche Werbung – könne sich die lästige Einholung einer Einwilligung sparen. Hauptsache, es wird kein Schaden angerichtet. Das klingt vernünftig, ist aber nicht rechtskonform.

Denn: Nicht die Absicht zählt, sondern die Rechtsgrundlage. Und das Datenschutzrecht verlangt in jedem Fall eine legale Erlaubnis zur Datenverarbeitung – unabhängig davon, ob diese gut oder böse gemeint ist.

Die Wahrheit: Eine Einwilligung ist nur eine von mehreren Rechtsgrundlagen

Die DSGVO kennt sechs gleichwertige Rechtsgrundlagen für die Datenverarbeitung (Art. 6 Abs. 1 DSGVO). Eine Einwilligung ist nur eine davon – und wird nicht immer benötigt. Wichtig ist: Wer keine Einwilligung einholt, muss sich auf eine andere Rechtsgrundlage stützen können.

Die wichtigsten Rechtsgrundlagen im Überblick:

• Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO)
• Vertragserfüllung oder vorvertragliche Maßnahmen (lit. b)
• Erfüllung einer rechtlichen Verpflichtung (lit. c)
• Wahrnehmung einer Aufgabe im öffentlichen Interesse (lit. e)
• Wahrung berechtigter Interessen des Verantwortlichen oder Dritter (lit. f) – nur wenn keine überwiegenden Interessen der betroffenen Person entgegenstehen

Die falsche Vorstellung, dass eine Datenverarbeitung schon dann rechtmäßig ist, wenn sie "gut gemeint" ist, ignoriert dieses System – und führt in der Praxis oft zu abmahnfähigen Verstößen.

Praxisfall: Newsletter ohne Einwilligung

Ein klassisches Beispiel: Eine Kundin bestellt ein Produkt in einem Online-Shop. Einige Tage später erhält sie ohne Vorwarnung regelmäßig Werbe-E-Mails mit Rabattaktionen und neuen Produkten. Der Betreiber meint: „Sie war doch Kundin, das ist doch in ihrem Interesse.“

Aber: Werbung per E-Mail ist ohne ausdrückliche Einwilligung unzulässig, selbst bei Bestandskunden – es sei denn, es greift eine eng begrenzte Ausnahmeregel (§ 7 Abs. 3 UWG). Diese greift nur, wenn:

• die E-Mail im Zusammenhang mit dem Verkauf eines Produkts erhoben wurde
• für ähnliche Produkte geworben wird
• der Kunde bei der Erhebung klar auf die Widerspruchsmöglichkeit hingewiesen wurde
• der Kunde der Nutzung nicht widersprochen hat

Fehlt auch nur einer dieser Punkte, ist die Werbung rechtswidrig – und kann kostenpflichtig abgemahnt werden.

Rechtsprechung: BGH zur Einwilligung bei E-Mail-Werbung

Ein wegweisendes Urteil hierzu erging vom Bundesgerichtshof (BGH):

BGH, Urteil vom 14.03.2017 – VI ZR 721/15
Der BGH stellte klar, dass die Zusendung von Werbung per E-Mail grundsätzlich nur mit ausdrücklicher, informierter und freiwilliger Einwilligung zulässig ist. Ein vorangekreuztes Kästchen oder eine versteckte Zustimmung im Fließtext reichen nicht aus. Auch eine „konkludente Einwilligung“ genügt nicht den Anforderungen der DSGVO.

In dem Fall hatte ein Unternehmen einem Nutzer Werbemails geschickt, weil dieser bei einem Gewinnspiel teilgenommen hatte. Das reichte nicht aus – es lag keine wirksame Einwilligung vor.

Fazit zu Irrtum 3

Ob man „nichts Böses“ mit den Daten vorhat, ist im Datenschutzrecht völlig irrelevant. Entscheidend ist allein, ob eine gültige Rechtsgrundlage vorliegt – und diese muss nachweisbar sein. Besonders im Marketingbereich ist die Einwilligung meist Pflicht – und zwar ausdrücklich, freiwillig, informiert und dokumentiert.

Tipp: Wer Werbemails, Newsletter oder Remarketing betreibt, sollte seine Einwilligungsprozesse (Double Opt-in!) und Datenschutzerklärung regelmäßig prüfen – und sich nicht auf das eigene Bauchgefühl verlassen.

nach oben

4. Irrtum: „Ein Impressum ersetzt die Datenschutzerklärung“

Warum dieser Irrtum häufig vorkommt

Viele Webseitenbetreiber glauben, mit einem rechtssicheren Impressum seien alle Informationspflichten erfüllt. Schließlich stehen dort Name, Anschrift, E-Mail-Adresse und weitere Kontaktdaten – was will der Datenschutz noch?

Doch wer so denkt, verwechselt zwei völlig unterschiedliche Pflichten, die auf unterschiedlichen Gesetzen basieren. Das kann nicht nur zu Abmahnungen führen, sondern auch zu empfindlichen Bußgeldern durch die Datenschutzaufsicht.

Impressumspflicht ≠ Datenschutzerklärung

Das Impressum ist eine Verpflichtung aus dem Telemediengesetz (TMG) bzw. aktuell aus dem DDG (Digitale-Dienst-Gesetz). Es dient der Transparenz – der Nutzer soll wissen, wer hinter einer Website steht.

Die Datenschutzerklärung hingegen ist eine Pflicht aus der DSGVO, insbesondere aus den Art. 13 und 14 DSGVO. Sie dient nicht der Anbieterkennzeichnung, sondern der Information über die Datenverarbeitung – also darüber, was mit personenbezogenen Daten geschieht, wenn jemand beispielsweise eine Website nutzt.

Kurz gesagt:

• Das Impressum sagt: Wer bin ich?
• Die Datenschutzerklärung sagt: Was mache ich mit deinen Daten – und warum?

Was gehört in eine Datenschutzerklärung?

Die DSGVO macht hierzu klare Vorgaben in Art. 13 (Direkterhebung) und Art. 14 (Daten von Dritten). Für eine typische Website bedeutet das:

• Name und Kontaktdaten des Verantwortlichen
• Zwecke und Rechtsgrundlagen der Datenverarbeitung
• Empfänger oder Kategorien von Empfängern der Daten (z. B. Hosting-Anbieter, Newsletter-Dienstleister)
• Speicherdauer oder Kriterien für die Festlegung
• Hinweise auf Betroffenenrechte (Auskunft, Löschung, Widerspruch etc.)
• Hinweis auf Beschwerderecht bei der Datenschutzaufsicht
• Angabe, ob eine automatisierte Entscheidungsfindung erfolgt
• Information über Cookies und Tracking-Tools (ggf. mit Verweis auf Einwilligungsbanner)

Und: Die Datenschutzerklärung muss leicht verständlich und jederzeit abrufbar sein – am besten mit einem eigenen Menüpunkt im Footer.

Praxisbeispiel: Website mit Kontaktformular

Nehmen wir an, eine Steuerkanzlei hat eine eigene Website. Dort befindet sich ein einfaches Kontaktformular, in dem Besucher Name, E-Mail-Adresse und ein Anliegen eingeben können.

Schon allein dieses Formular löst umfangreiche Informationspflichten aus – denn es werden personenbezogene Daten erhoben. Die Datenschutzerklärung muss daher unter anderem Folgendes beinhalten:

• Dass der Nutzer freiwillig Kontakt aufnehmen kann
• Welche Daten abgefragt werden
• Auf welcher Rechtsgrundlage das geschieht (meist Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse)
• Wie lange die Daten gespeichert werden
• Dass eine Weitergabe z. B. an IT-Dienstleister erfolgen kann
• Hinweise auf Auskunftsrecht, Widerrufsrecht und Beschwerderecht

Fehlt diese Datenschutzerklärung – oder ersetzt man sie fälschlicherweise durch das Impressum –, verstößt man klar gegen die DSGVO. Das kann durch Abmahnungen, Bußgelder oder Beschwerden bei der Aufsichtsbehörde geahndet werden.

Fazit zu Irrtum 4

Ein Impressum ist wichtig – aber es ersetzt niemals die Datenschutzerklärung. Beide Dokumente dienen völlig unterschiedlichen Zwecken. Wer personenbezogene Daten über seine Website verarbeitet – und das tun fast alle – muss eine DSGVO-konforme Datenschutzerklärung bereitstellen.

Tipp: Lass deine Datenschutzerklärung nicht einfach von einer fremden Website kopieren. Nutze professionelle Datenschutzgeneratoren (z. B. von Anwälten oder Kammern) oder lasse sie individuell prüfen – gerade wenn du Tools wie Google Analytics, Facebook-Pixel oder externe Newsletter-Dienste einsetzt.

nach oben

5. Irrtum: „Für meine Mitarbeiterdaten gilt die DSGVO nicht“

Warum dieser Irrtum gefährlich ist

In vielen Unternehmen herrscht die Meinung, dass das Datenschutzrecht vor allem für den Umgang mit Kundendaten relevant ist – aber nicht für die Daten der eigenen Mitarbeitenden. Schließlich bestehe ja ein Arbeitsvertrag, und vieles sei „intern“.

Doch genau diese Haltung ist nicht nur falsch, sondern besonders brisant. Denn im Arbeitsverhältnis werden tagtäglich sensible personenbezogene Daten verarbeitet – und das in einem besonders schutzbedürftigen Kontext.

Was das Gesetz wirklich sagt

Die DSGVO gilt auch für Mitarbeiterdaten – uneingeschränkt. Das wird in Art. 88 DSGVO ausdrücklich erwähnt:

„Die Mitgliedstaaten können [...] spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten in Bezug auf die Verarbeitung personenbezogener Daten im Beschäftigungskontext [...] vorsehen.“

Deutschland hat davon Gebrauch gemacht – mit § 26 Bundesdatenschutzgesetz (BDSG). Dieser regelt die Datenverarbeitung zur Begründung, Durchführung und Beendigung von Beschäftigungsverhältnissen.

Wichtig dabei:

• Die Datenverarbeitung ist nur zulässig, wenn sie zur Durchführung des Arbeitsverhältnisses erforderlich ist
• Eine Einwilligung von Beschäftigten ist nur ausnahmsweise zulässig (Freiwilligkeit oft zweifelhaft wegen Abhängigkeitsverhältnis)
• Besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) unterliegen einem erhöhten Schutz

Was bedeutet das in der Praxis?

Ob Bewerbung, Krankmeldung oder private Nutzung von Firmengeräten – überall lauern datenschutzrechtliche Anforderungen:

Bewerbungen

• Bewerbungsschreiben, Lebensläufe, Zeugnisse = personenbezogene Daten
• Daten dürfen nur zur Auswahl geeigneter Kandidat:innen verwendet werden
• Nach Absage müssen Unterlagen - ggf. nach spätestens 6 Monaten - gelöscht werden (AGG-Frist zur Geltendmachung von Diskriminierung)
• Bewerber haben ein Auskunftsrecht nach Art. 15 DSGVO – auch im Bewerbungsverfahren

Krankmeldungen

• Gesundheitsdaten gelten als besonders schützenswert (Art. 9 Abs. 1 DSGVO)
• Verarbeitung nur bei ausdrücklicher gesetzlicher Grundlage oder Einwilligung
• Eine Krankmeldung darf nicht weiter als nötig verbreitet werden (z. B. keine Rundmail „Frau XY ist krank“)
• Es darf nicht der Grund der Erkrankung dokumentiert werden – nur die Arbeitsunfähigkeit selbst

Private Nutzung von Firmengeräten

• Zulässigkeit sollte in einer klaren internen Regelung oder Betriebsvereinbarung festgelegt sein
• Bei erlaubter privater Nutzung ist eine vollständige Überwachung rechtlich unzulässig
• Auch bei dienstlicher Nutzung: Kontrolle von E-Mails, Browsern oder Geräten ist nur unter engen Voraussetzungen erlaubt – Transparenz und Verhältnismäßigkeit sind Pflicht

Rechtsprechung: Heimliche Videoüberwachung am Arbeitsplatz

Ein aufsehenerregendes Urteil hierzu stammt vom Bundesarbeitsgericht (BAG):

BAG, Urteil vom 29.06.2023 – 2 AZR 296/22
Das Gericht entschied: Eine heimlich durchgeführte, dauerhafte Videoüberwachung eines Arbeitnehmers verletzt dessen Persönlichkeitsrecht und ist nicht verwertbar, selbst wenn ein Verdacht auf Diebstahl besteht. Die Überwachung sei nicht erforderlich, da mildere Mittel – wie eine offene Überwachung oder gezielte Befragung – zur Verfügung gestanden hätten.

Das Urteil betont, dass selbst bei einem legitimen Interesse (z. B. Aufklärung eines Fehlverhaltens) der Datenschutz Vorrang hat, wenn das Mittel nicht verhältnismäßig ist. Ein schwerer Verstoß gegen die DSGVO kann zudem arbeitsrechtliche Maßnahmen unwirksam machen, etwa eine Kündigung.

Fazit zu Irrtum 5

Auch innerhalb des Unternehmens sind personenbezogene Daten kein rechtsfreier Raum. Mitarbeiterdaten gehören zu den sensibelsten Informationen überhaupt – und ihre Verarbeitung unterliegt strengen Regeln nach DSGVO und BDSG.

Tipp: Unternehmen sollten klare Datenschutzrichtlinien für den Umgang mit Beschäftigtendaten erstellen, Mitarbeiter regelmäßig schulen und interne Prozesse (z. B. Bewerbungsmanagement, Krankmeldungen, IT-Nutzung) regelmäßig prüfen. Denn Verstöße im Mitarbeiterdatenschutz führen nicht nur zu Bußgeldern – sondern auch zu enormem Reputationsschaden.

nach oben

6. Irrtum: „Die Löschung von Daten muss sofort und immer erfolgen“

Warum dieser Irrtum gefährlich ist

Ein weit verbreitetes Missverständnis: Sobald eine betroffene Person die Löschung ihrer Daten verlangt, muss man diese sofort löschen – egal was. Diese Annahme führt nicht selten zu panischen Reaktionen, vorschnellen Löschungen oder sogar zur Vernichtung von Unterlagen, die man eigentlich noch gesetzlich aufbewahren müsste.

In Wahrheit ist die Löschung personenbezogener Daten zwar eine zentrale Pflicht nach der DSGVO – sie ist aber nicht absolut und nicht sofort in jedem Fall geboten. Es gilt vielmehr, verschiedene rechtliche Interessen und Pflichten gegeneinander abzuwägen.

Was das Gesetz wirklich sagt: Art. 17 DSGVO

Die sogenannte „Recht auf Vergessenwerden“-Regel findet sich in Art. 17 DSGVO. Danach sind personenbezogene Daten zu löschen, wenn einer der folgenden Gründe vorliegt:

• Die Daten sind für den Zweck, für den sie erhoben wurden, nicht mehr notwendig
• Die betroffene Person widerruft ihre Einwilligung und es gibt keine andere Rechtsgrundlage
• Die betroffene Person legt Widerspruch gegen die Verarbeitung ein (Art. 21 DSGVO)
• Die Daten wurden unrechtmäßig verarbeitet
• Die Löschung ist zur Erfüllung einer rechtlichen Pflicht erforderlich
• Die Daten wurden im Zusammenhang mit Diensten der Informationsgesellschaft bei Kindern erhoben

Aber – und das ist entscheidend – dieses Recht auf Löschung ist eingeschränkt, wenn andere rechtliche Pflichten bestehen, die einer sofortigen Löschung entgegenstehen.

Gesetzliche Aufbewahrungspflichten – das oft übersehene Gegenstück

Ein häufiger Fall: Daten dürfen nicht gelöscht werden, weil sie aus steuer- oder handelsrechtlichen Gründen aufbewahrt werden müssen.

Die wichtigsten Normen:

• § 257 Handelsgesetzbuch (HGB) – betrifft z. B. Handelsbriefe, Buchungsbelege, Jahresabschlüsse
• § 147 Abgabenordnung (AO) – betrifft steuerlich relevante Unterlagen, Rechnungen, Verträge

Die Regelfristen betragen:

• 10 Jahre für Buchungsbelege, Rechnungen, Bilanzen
• 6 Jahre für empfangene Handelsbriefe und sonstige steuerrelevante Kommunikation

Solange solche gesetzlichen Aufbewahrungspflichten bestehen, muss die Löschung ausgesetzt werden – auch wenn ein Löschantrag eingeht.

In solchen Fällen ist eine „Einschränkung der Verarbeitung“ (Art. 18 DSGVO) das richtige Mittel: Die Daten dürfen nicht mehr aktiv genutzt, aber noch archiviert werden.

Praxisbeispiel: Steuerberater und Kundendaten

Ein Mandant fordert einen Steuerberater auf, alle seine Daten zu löschen, da das Mandat beendet wurde. Der Steuerberater ist zunächst verunsichert – er will dem Wunsch nachkommen, weiß aber auch um seine Pflichten gegenüber dem Finanzamt.

Richtig wäre hier:
Die personenbezogenen Daten dürfen erst nach Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht werden. Bis dahin müssen sie gesperrt (nicht mehr aktiv genutzt) und sicher archiviert werden.

Falsch wäre:
Die Daten sofort zu löschen – das würde gegen steuerliche Aufbewahrungspflichten verstoßen und könnte bei einer späteren Betriebsprüfung erhebliche Probleme verursachen.

Rechtsprechung: VG Wiesbaden zum Löschanspruch

Ein aufschlussreiches Urteil zu diesem Thema erging vom Verwaltungsgericht Wiesbaden:

VG Wiesbaden, Urteil vom 28.02.2019 – Az. 6 K 1363/18.WI
Das Gericht bestätigte, dass das Recht auf Löschung nicht absolut gilt. Der Kläger verlangte die Löschung seiner Daten bei einer Auskunftei (Schufa), doch das Gericht entschied, dass das berechtigte Interesse der Allgemeinheit und der Wirtschaft an Bonitätsinformationen in bestimmten Fällen überwiegen kann.

Das Urteil zeigt: Selbst wenn formal ein Löschanspruch besteht, muss er mit anderen Interessen abgewogen werden – z. B. Informationsinteresse, Rechtssicherheit oder gesetzliche Pflichten.

Fazit zu Irrtum 6

Die DSGVO verpflichtet zur Löschung personenbezogener Daten – aber nicht kopflos und nicht sofort immer. Vielmehr muss im Einzelfall geprüft werden, ob gesetzliche Aufbewahrungspflichten bestehen oder überwiegende Interessen eine weitere Speicherung rechtfertigen.

Tipp: Unternehmen sollten ein systematisches Löschkonzept entwickeln, in dem geregelt ist, welche Daten wann zu löschen oder zu archivieren sind. So lassen sich Bußgelder und unnötige Rechtsrisiken vermeiden – und Betroffene können korrekt informiert werden.

nach oben

7. Irrtum: „Ich bin Auftragsverarbeiter, also habe ich nichts zu befürchten“

Warum dieser Irrtum trügerisch ist

Viele IT-Dienstleister, Agenturen, Hosting-Provider oder externe Buchhaltungsbüros sehen sich lediglich als technische Dienstleister – und glauben, dass die datenschutzrechtliche Verantwortung ausschließlich beim Kunden liegt. Frei nach dem Motto: „Ich bin ja nur Auftragsverarbeiter – um den Datenschutz muss sich der Verantwortliche kümmern.“

Dieser Irrtum kann teuer werden. Denn auch Auftragsverarbeiter unterliegen der DSGVO, haben eigene Pflichten – und können bei Verstößen selbst Bußgelder erhalten.

Die DSGVO unterscheidet genau: Verantwortlicher vs. Auftragsverarbeiter

Die entscheidende Abgrenzung ist in Art. 4 DSGVO geregelt:

• Art. 4 Nr. 7 DSGVO – Verantwortlicher:
  „[...] die natürliche oder juristische Person, [...] die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
• Art. 4 Nr. 8 DSGVO – Auftragsverarbeiter:
  „[...] eine natürliche oder juristische Person, [...] die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“

Vereinfacht gesagt:

• Der Verantwortliche entscheidet, was mit den Daten passiert.
• Der Auftragsverarbeiter führt nur weisungsgebundene Tätigkeiten aus.

Aber: Auch der Auftragsverarbeiter muss sich an die DSGVO halten, technisch-organisatorische Maßnahmen umsetzen (Art. 32 DSGVO) und ist mitverantwortlich, wenn er eigenständig handelt, gegen Weisungen verstößt oder unzureichend absichert.

Anforderungen an den Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

Wenn personenbezogene Daten im Auftrag verarbeitet werden, muss ein AV-Vertrag (Auftragsverarbeitungsvertrag) abgeschlossen werden – schriftlich oder elektronisch, vor Aufnahme der Verarbeitung.

Dieser Vertrag muss u. a. regeln:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten und Kategorien betroffener Personen
• Rechte und Pflichten des Verantwortlichen
• Pflichten des Auftragsverarbeiters, u. a.:
• nur auf Weisung handeln
• Vertraulichkeit sicherstellen
• TOMs (technisch-organisatorische Maßnahmen) nachweisen
• Unterauftragsverhältnisse nur mit Zustimmung
• Unterstützung bei Betroffenenrechten
• Nach Vertragsende Daten löschen oder zurückgeben

Fehlt dieser Vertrag – oder ist er unvollständig – liegt ein Verstoß gegen Art. 28 DSGVO vor, der sowohl den Auftraggeber als auch den Auftragsverarbeiter haftbar macht.

Praxisbeispiel: IT-Dienstleister mit eigenen Servern

Ein Softwareunternehmen bietet eine CRM-Lösung als Cloud-Service an. Kundendaten (Namen, Adressen, Notizen) werden dabei auf eigenen Servern gespeichert. Die Kunden gehen davon aus, dass der Anbieter Datenschutz „mitmacht“, kümmern sich aber nicht weiter darum.

Die Folge:

• Der Dienstleister ist Auftragsverarbeiter, weil er Daten im Auftrag seiner Kunden speichert und verarbeitet.
• Er braucht mit jedem Kunden einen AV-Vertrag nach Art. 28 DSGVO.
• Er muss eigene Maßnahmen zum Schutz der Daten vorweisen können.

Wenn kein AV-Vertrag geschlossen wird – oder wenn der Dienstleister eigenmächtig Daten nutzt, etwa zur Verbesserung seines Produkts ohne Zustimmung – verlässt er die Rolle des Auftragsverarbeiters und wird zum (Mit-)Verantwortlichen. Damit haftet er selbst – inklusive Bußgeldrisiko.

Rechtsprechung: ULD vs. Facebook Fanpages

Ein Meilenstein zur Mitverantwortung in der Auftragsverarbeitung ist das Urteil des EuGH im Fall ULD vs. Facebook Fanpages:

EuGH, Urteil vom 05.06.2018 – C-210/16
Betreiber einer Facebook-Fanpage sind gemeinsam mit Facebook datenschutzrechtlich verantwortlich, weil sie mitentscheiden, welche Daten wie verarbeitet werden (z. B. durch Zielgruppenanalyse, Statistikfunktionen). Es genügt die Mitentscheidung über Mittel und Zwecke der Verarbeitung – auch wenn Facebook selbst die Technik betreibt.

Das Urteil zeigt: Wer mitgestaltet, mitnutzt oder profitiert, kann nicht mehr auf den Status des „nur Ausführenden“ pochen. In vielen Fällen liegt eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor – mit entsprechenden Informations- und Rechenschaftspflichten.

Fazit zu Irrtum 7

Auch als Auftragsverarbeiter ist man nicht „raus“ aus dem Datenschutzrecht. Im Gegenteil: Wer personenbezogene Daten verarbeitet – egal ob im Hosting, als Agentur, IT-Dienstleister oder Callcenter – muss nachweisen können, dass er alle gesetzlichen Pflichten einhält, AV-Verträge abschließt und keine eigenmächtigen Datenverwendungen vornimmt.

Tipp: Unternehmen sollten genau prüfen, ob sie Verantwortlicher, Auftragsverarbeiter oder beides sind – und mit Partnern saubere Verträge nach Art. 28 DSGVO abschließen. Wer glaubt, als „technischer Dienstleister“ sei man auf der sicheren Seite, verkennt die Brisanz des Datenschutzrechts.

nach oben

8. Irrtum: „Wenn ich Daten anonymisiere, bin ich immer auf der sicheren Seite“

Warum dieser Irrtum trügerisch ist

Viele Verantwortliche gehen davon aus, dass sie auf der sicheren Seite sind, sobald sie personenbezogene Daten „irgendwie unkenntlich“ machen – etwa durch das Entfernen von Namen, Adressen oder Kundennummern. Die Annahme: „Ich anonymisiere ja, also gilt die DSGVO nicht mehr.“

Doch dieser Glaube kann trügen – denn was technisch wie Anonymisierung aussieht, ist rechtlich oft nur eine Pseudonymisierung. Und dann bleibt die DSGVO voll anwendbar – mit allen Pflichten und Risiken.

Anonymisierung vs. Pseudonymisierung: Ein wichtiger Unterschied

Die DSGVO unterscheidet ausdrücklich zwischen diesen beiden Konzepten:

Anonymisierung

• Daten lassen keinen Rückschluss mehr auf eine bestimmte Person zu
• Die Re-Identifizierung ist unmöglich oder nur mit unverhältnismäßigem Aufwand denkbar
• Anonyme Daten fallen nicht unter die DSGVO
• Beispiel: Durchschnittsalter einer Kundengruppe ohne Einzelbezug

Pseudonymisierung (Art. 4 Nr. 5 DSGVO)

• Identifikatoren werden durch ein Kürzel oder Code ersetzt
• Ein Rückbezug ist prinzipiell noch möglich – z. B. mit zusätzlichem Schlüssel
• Die Daten bleiben personenbezogen
• Beispiel: Patientenakte mit zufälliger ID statt Name – Schlüssel liegt beim Arzt

Pseudonymisierung ist ein wichtiges Datensicherheitsinstrument, aber kein Freifahrtschein. Die DSGVO bleibt anwendbar – es gelten Pflichten wie Informationspflicht, Zweckbindung und ggf. Einwilligung.

Wann liegt echte Anonymisierung vor?

Das entscheidende Kriterium ist die „praktische Unmöglichkeit der Re-Identifizierung“. Dabei zählt nicht nur, ob der aktuelle Dateninhaber eine Person identifizieren kann, sondern ob irgendjemand unter vertretbarem Aufwand dazu in der Lage wäre.

Die Art der Daten, der Kontext, die möglichen Hilfsmittel und die technische Entwicklung spielen dabei eine Rolle.

Faustregel: Je mehr externe Informationen oder Kombinationen die Re-Identifizierung ermöglichen, desto weniger anonym sind die Daten.

EuGH: Re-Identifizierbarkeit als Maßstab

Der Europäische Gerichtshof hat diesen Maßstab bereits in mehreren Entscheidungen bestätigt – insbesondere in Bezug auf IP-Adressen und statistische Daten:

EuGH, Rs. Breyer – Urteil vom 19.10.2016 – C-582/14
Dynamische IP-Adressen sind personenbezogen, wenn der Betreiber theoretisch über einen Dritten (z. B. Provider) zur Identifizierung gelangen kann. Es reicht, dass eine Re-Identifikation mit rechtlich zulässigen Mitteln möglich wäre – auch wenn sie nicht unmittelbar beim Verantwortlichen selbst liegt.

Das bedeutet: Auch Daten, die oberflächlich „neutral“ wirken, können personenbezogen sein, wenn sie mit anderen Informationen kombiniert werden können.

Beispiel aus der Praxis: Gesundheitsdaten in Forschungsprojekten

Ein Institut sammelt Gesundheitsdaten von Patienten, um den Erfolg einer neuen Therapie zu analysieren. Dabei werden Namen und Adressen entfernt, die Datensätze aber mit einer Fallnummer versehen. Der Schlüssel zur Zuordnung liegt beim behandelnden Arzt.

▶️ Problem: Trotz Entfernung offensichtlicher Identifikatoren handelt es sich um eine Pseudonymisierung, da ein Rückbezug über den Schlüssel möglich ist. Die Daten bleiben personenbezogen – und damit gilt die DSGVO.

▶️ Konsequenz: Das Forschungsprojekt muss z. B. auf eine Rechtsgrundlage gestützt werden (Art. 6 DSGVO, ggf. Art. 9 für Gesundheitsdaten), Patienten müssen ggf. informiert und es müssen besondere Schutzmaßnahmen getroffen werden.

Erst wenn die Daten wirklich nicht mehr re-identifizierbar sind – auch nicht durch Dritte –, gelten sie als anonym.

Fazit zu Irrtum 8

Anonymisierung schützt – aber nur, wenn sie wirklich greift. Eine bloße Pseudonymisierung genügt nicht, um aus dem Anwendungsbereich der DSGVO herauszufallen. Wer Daten angeblich anonymisiert, muss sorgfältig prüfen (und dokumentieren!), ob eine Re-Identifizierbarkeit vollständig ausgeschlossen ist.

Tipp:

• Prüfen Sie genau, ob Sie wirklich anonymisieren oder nur pseudonymisieren
• Halten Sie die Kriterien für „Unmöglichkeit der Re-Identifikation“ nachvollziehbar fest
• Lassen Sie bei sensiblen Daten (z. B. aus der Forschung) die Verfahren regelmäßig datenschutzrechtlich überprüfen

nach oben

9. Irrtum: „Ich muss nur handeln, wenn sich jemand beschwert“

Warum dieser Irrtum besonders gefährlich ist

In vielen Unternehmen herrscht die Vorstellung: „Datenschutz? Wird schon niemand nachfragen. Wir reagieren erst, wenn es Ärger gibt.“

Doch dieser reaktive Ansatz widerspricht dem Grundprinzip der DSGVO. Das Datenschutzrecht ist kein reines Beschwerderecht der Betroffenen, sondern verlangt von Unternehmen und Verantwortlichen ein aktives, nachweisbares Datenschutzmanagement – unabhängig davon, ob eine Anfrage, ein Vorfall oder eine Beschwerde vorliegt.

Die Rechenschaftspflicht: Was die DSGVO wirklich verlangt

Ein zentrales Prinzip der DSGVO ist die sogenannte Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO:

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss deren Einhaltung nachweisen können.“

Das bedeutet konkret:
Unternehmen müssen nicht nur die Datenschutzgrundsätze einhalten, sondern auch nachvollziehbar dokumentieren, dass sie das tun. Dazu gehören u. a.:

• Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
• Abschluss von Auftragsverarbeitungsverträgen (Art. 28 DSGVO)
• Datenschutz-Folgenabschätzungen bei risikobehafteten Verarbeitungen (Art. 35 DSGVO)
• Interne Prozesse zur Löschung, Auskunft, Datensicherheit
• Schulungen, Zuständigkeiten, TOMs (technisch-organisatorische Maßnahmen)

Untätigkeit kann teuer werden – auch ohne Beschwerden

Die Datenschutzaufsichtsbehörden sind nicht auf Beschwerden angewiesen. Sie können Unternehmen auch von sich aus kontrollieren, z. B.:

• im Rahmen einer Stichprobenprüfung
• bei Hinweisen aus anderen Verfahren
• bei öffentlichen Hinweisen auf Datenschutzmängel (z. B. durch Presseberichte, Webseiten-Scans)
• durch automatisierte Prüfungen von Websites (z. B. Cookie-Banner, Impressum, Datenschutzerklärung)

Fehlt es an grundlegenden Maßnahmen, drohen empfindliche Bußgelder – auch wenn es nie eine konkrete Beschwerde gab.

Praxisbeispiel: Keine AV-Verträge, kein Verzeichnis – und plötzlich Post

Ein mittelständisches Unternehmen beauftragt mehrere externe Dienstleister (IT, Buchhaltung, Hosting), hat aber nie einen Auftragsverarbeitungsvertrag abgeschlossen. Auch ein Verzeichnis von Verarbeitungstätigkeiten wurde nie geführt – man wusste nicht einmal, dass das notwendig ist.

Im Rahmen einer allgemeinen Prüfung zur DSGVO-Umsetzung schreibt die Aufsichtsbehörde das Unternehmen an. Es muss innerhalb von vier Wochen nachweisen:

• mit wem AV-Verträge bestehen
• welche personenbezogenen Daten wie verarbeitet werden
• welche Schutzmaßnahmen vorhanden sind
• wann Daten gelöscht werden

Das Unternehmen kann keine dieser Anforderungen erfüllen – es droht ein Bußgeld wegen Verstoß gegen Art. 28 und 30 DSGVO.

Rechtsprechung/Behördliches Beispiel: Berliner Datenschutzbehörde und fehlende Löschkonzepte

Die Berliner Datenschutzbehörde verhängte 2019 ein Bußgeld in Höhe von 14,5 Millionen Euro gegen ein großes Immobilienunternehmen (Deutsche Wohnen SE) - der Rechtsstreit hierzu dauert auch 2025 noch an -, weil:

• kein wirksames Löschkonzept vorhanden war
• Altbestände personenbezogener Daten über Jahre hinweg ungerechtfertigt gespeichert wurden
• keine gesetzeskonforme Dokumentation nach Art. 5 Abs. 2 DSGVO erfolgte

Die Rechenschaftspflicht verlangt proaktives Handeln, nicht bloßes Reagieren.

Fazit zu Irrtum 9

Die DSGVO ist kein „passives Gesetz“, das erst gilt, wenn jemand klopft. Sie verpflichtet Unternehmen dazu, jederzeit vorbereitet zu sein, Datenschutz umzusetzen und dies auch dokumentieren zu können – ohne konkreten Anlass.

Tipp: Wer heute noch denkt, er könne Datenschutz „aufschieben“, riskiert morgen Post von der Aufsichtsbehörde – inklusive Frist, Prüfungsfragen und Bußgeldandrohung. Besser: Frühzeitig aktiv werden und dokumentieren, dass man seine Hausaufgaben gemacht hat.

nach oben

10. Irrtum: „Ein Datenschutzverstoß ist nur schlimm, wenn Daten verloren gehen“

Warum dieser Irrtum besonders gefährlich ist

In vielen Unternehmen herrscht die Vorstellung: „Solange keine Hackerangriffe stattfinden und keine Server abstürzen, gibt es auch keinen Datenschutzverstoß.“

Doch das ist ein gefährlicher Trugschluss. Die DSGVO spricht nicht nur von „Datenverlust“ im technischen Sinn – sondern von „Verletzungen des Schutzes personenbezogener Daten“, und das in vielfältiger Form. Schon kleine Pannen im Büroalltag können als meldepflichtiger Datenschutzverstoß gewertet werden – mit ernsten rechtlichen Konsequenzen.

Was ist eine „Datenpanne“ im Sinne der DSGVO?

Die DSGVO spricht nicht direkt von „Datenpannen“, sondern von „Verletzungen des Schutzes personenbezogener Daten“ – in Art. 4 Nr. 12 DSGVO definiert:

„[...] eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt [...].“

➡️ Damit ist klar: Eine Datenpanne liegt nicht nur bei Datenverlust, sondern auch bei:

• versehentlicher Offenlegung (z. B. E-Mail an falschen Empfänger)
• unbefugtem Zugriff (z. B. durch fehlerhafte Berechtigungen)
• Veränderung von Daten ohne Berechtigung
• versehentlicher Löschung oder Sperrung

Wichtig ist: Es genügt bereits eine potenzielle Gefährdung der Rechte und Freiheiten der betroffenen Person – nicht erst ein tatsächlicher Schaden.

Die Meldepflicht nach Art. 33 DSGVO

Wenn eine solche Verletzung eintritt, besteht - mit geringen Ausnahmen - eine strenge Meldepflicht an die Datenschutzbehörde:

• innerhalb von 72 Stunden nach Bekanntwerden
• unabhängig davon, ob der Verstoß durch technische Störung, menschliches Versagen oder externen Angriff erfolgt ist
• es müssen u. a. beschrieben werden:
• Art der Datenpanne
• betroffene Personen/Datenarten
• mögliche Folgen
• getroffene Maßnahmen zur Abhilfe

Ist die Meldefrist versäumt oder wird der Vorfall verschwiegen, drohen hohe Bußgelder – selbst bei kleinen Pannen.

Beispiel: E-Mail an den falschen Empfänger

Ein Versicherungsmitarbeiter verschickt versehentlich eine E-Mail mit einer Beitragsabrechnung und Gesundheitsdaten an den falschen Kunden, weil die Autovervollständigung im E-Mail-Programm die falsche Adresse eingesetzt hat.

▶️ Viele denken: „Peinlich, aber kein Drama – ist ja nichts weggekommen.“
❌ Falsch! Die unbefugte Offenlegung dieser sensiblen Informationen ist eine meldepflichtige Datenpanne nach Art. 33 DSGVO – und je nach Art der Daten (hier: Gesundheitsdaten) ist unter Umständen auch die betroffene Person zu benachrichtigen (Art. 34 DSGVO).

Fazit zu Irrtum 10

Eine Datenpanne liegt nicht nur bei Datenverlust oder Hackerangriffen vor. Auch ein falscher Klick, eine verirrte E-Mail oder ein offener USB-Stick mit Kundendaten kann eine meldepflichtige Verletzung des Datenschutzes darstellen. Und wer dann nicht sofort und korrekt reagiert, riskiert empfindliche Sanktionen.

Tipp:

• Schulen Sie Mitarbeitende für typische Pannenfälle (E-Mail-Versand, Aktenvernichtung, IT-Zugriffe)
• Richten Sie einen internen Meldeweg ein – damit Vorfälle sofort gemeldet und dokumentiert werden
• Legen Sie Verfahren für die Bewertung, Meldung und Abhilfe von Datenschutzverstößen fest

nach oben

11. Irrtum: „Google Fonts & Cookies sind kein Problem, solange ich einen Banner einblende“

Warum dieser Irrtum weit verbreitet ist

Viele Webseitenbetreiber wiegen sich in falscher Sicherheit: „Ich habe doch ein Cookie-Banner – also ist alles DSGVO-konform.“ Oder: „Google Fonts sind doch nur Schriftarten, die werden ja nicht gespeichert.“

Doch genau hier liegt der Irrtum: Ein Banner ist nicht automatisch ausreichend, und viele Tools – darunter Google Fonts, Trackingdienste oder Social Plugins – dürfen ohne ausdrückliche Einwilligung gar nicht eingesetzt werden. Andernfalls drohen Abmahnungen, Bußgelder oder Unterlassungsklagen.

Google Fonts – mehr als nur eine hübsche Schrift

Google Fonts ist ein beliebter Dienst zur Einbindung von Schriftarten auf Websites. Standardmäßig werden die Schriftarten über Server von Google in den USA geladen, wenn ein Nutzer die Seite aufruft. Dabei wird automatisch die IP-Adresse des Nutzers an Google übermittelt – und genau das ist datenschutzrechtlich hoch problematisch.

Denn:

• Die IP-Adresse ist ein personenbezogenes Datum (vgl. EuGH „Breyer“)
• Die Übermittlung erfolgt an einen Drittstaat außerhalb der EU
• Es liegt keine Einwilligung des Nutzers vor
• Es fehlt in vielen Fällen ein gültiger Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Urteil: LG München zu Google Fonts ohne Einwilligung

Ein wegweisendes Urteil hierzu erging vom Landgericht München, zu einem Zeitpunkt als für die USA kein sog. Angemessenheitsbeschluss der EU-Kommission vorlag:

LG München I, Urteil vom 20.01.2022 – Az. 3 O 17493/20
Das Gericht entschied, dass die dynamische Einbindung von Google Fonts ohne vorherige Einwilligung einen Eingriff in das allgemeine Persönlichkeitsrecht des Nutzers darstellt (Art. 1 Abs. 1, Art. 2 Abs. 1 GG).
Der Websitebetreiber wurde verurteilt, die dynamische Einbindung zu unterlassen und 100 € Schadensersatz zu zahlen – pro Verstoß.

Das Urteil löste eine Abmahnwelle aus: Zahlreiche Betroffene mahnten Websitebetreiber ab oder forderten Schadensersatz – teils berechtigt, teils missbräuchlich.

Was die DSGVO und das TTDSG zu Cookies & Tracking sagen

Auch Cookies und Tracking-Technologien (z. B. Google Analytics, Facebook Pixel, Matomo) unterliegen strengen Einwilligungsanforderungen, geregelt im Zusammenspiel von:

• Art. 6 DSGVO (Rechtsgrundlage für Datenverarbeitung)
• § 25 TTDSG (Einwilligungserfordernis für das Setzen und Auslesen von Cookies)

Nur technisch notwendige Cookies dürfen ohne Einwilligung gesetzt werden – z. B. für Warenkörbe oder Login-Funktionen. Alle anderen (z. B. Statistik, Marketing, Personalisierung) benötigen:

• aktive, informierte Einwilligung (Opt-in)
• jederzeitige Widerrufsmöglichkeit
• dokumentierten Nachweis

Ein einfacher „Wir nutzen Cookies“-Banner mit „OK“-Button reicht also nicht aus.

Beispiel: Abmahnwelle wegen Google Fonts

Nach dem Münchner Urteil erhielten tausende Unternehmen und Vereine Massenabmahnungen wegen der externen Einbindung von Google Fonts – oft über automatisierte Tools wie „Google Fonts Checker“.

Teilweise wurden 100 bis 500 Euro Schadensersatz gefordert – mit Verweis auf Persönlichkeitsrechtsverletzungen. Einige Gerichte wiesen die Forderungen wegen Rechtsmissbrauchs zurück, doch der Schaden war bereits da: Zeit, Anwaltskosten, Stress, Imageschaden.

Wie Unternehmen richtig reagieren sollten

• Google Fonts lokal einbinden – nicht mehr über die Google-Server laden
• Cookie-Banner nach dem Opt-in-Prinzip einsetzen (z. B. mit Tools wie Usercentrics, Borlabs, ConsentManager)
• Datenschutzerklärung anpassen – mit Angaben zu verwendeten Tools, Empfängern, Rechtsgrundlagen, Drittlandübermittlungen
• Regelmäßige Website-Scans durchführen – um ungewollte Datenübermittlungen zu erkennen
• Keine voreingestellten Häkchen oder passive Einwilligung durch Weiternutzung – das ist unzulässig

Fazit zu Irrtum 11

Ein Cookie-Banner ist kein Allheilmittel – und Google Fonts ist nicht harmlos, wenn es falsch eingebunden wird. Schon scheinbar kleine Fehler in der Website-Konfiguration können datenschutzrechtlich als Verstoß mit Bußgeld- oder Abmahngefahr gewertet werden.

Tipp:

• Prüfen Sie Ihre Website regelmäßig auf dynamisch eingebundene Dienste
• Holen Sie bei Cookies und Trackingtools vorab eine gültige Einwilligung ein
• Dokumentieren Sie alles, was technisch und organisatorisch datenschutzrelevant ist

nach oben

12. Irrtum: „Ich darf keine Daten mehr verarbeiten, sobald die betroffene Person widerspricht“

Warum dieser Irrtum problematisch ist

Immer wieder kommt es zu Verwirrung, wenn betroffene Personen einen Widerspruch gegen die Verarbeitung ihrer Daten erklären – etwa per E-Mail oder über ein Online-Formular. Viele Unternehmen glauben dann, sie müssten sofort und vollständig alle Daten löschen oder die Verarbeitung einstellen, um keinen Verstoß gegen die DSGVO zu riskieren.

Das ist so jedoch nicht richtig – denn:

• Ein Widerspruch ist nicht automatisch ein Löschungsgrund
• Und: Ein Widerspruch ist nicht das gleiche wie ein Widerruf einer Einwilligung

Was ist der Unterschied zwischen Widerspruch und Widerruf?

Widerruf (Art. 7 Abs. 3 DSGVO)	Widerspruch (Art. 21 DSGVO)
Gilt nur bei Einwilligungen	Gilt bei berechtigtem Interesse
Betroffene kann jederzeit und ohne Begründung ihre Einwilligung widerrufen	Widerspruch muss begründet sein, außer bei Direktwerbung
Verarbeitung muss sofort eingestellt werden, wenn keine andere Rechtsgrundlage greift	Es muss eine Interessenabwägung erfolgen
Beispiel: Abmeldung vom Newsletter	Beispiel: Widerspruch gegen Analyse der Klickdaten im Kundenportal

Art. 21 DSGVO: Der Widerspruch muss abgewogen werden

Ein Widerspruch ist immer zu prüfen – insbesondere, wenn die Verarbeitung auf berechtigten Interessen des Unternehmens basiert (Art. 6 Abs. 1 lit. f DSGVO). Dabei muss eine Abwägung erfolgen zwischen:

• dem berechtigten Interesse des Verantwortlichen
• den Gründen, die die betroffene Person vorträgt

Nur wenn die Interessen der betroffenen Person überwiegen, muss die Verarbeitung eingestellt werden – andernfalls kann sie fortgeführt werden, aber mit Begründung und Dokumentation.

Ausnahme: Direktwerbung
Für den Fall, dass sich der Widerspruch gegen Direktwerbung richtet, ist die Sache klar:
➡️ Hier muss die Verarbeitung sofort eingestellt werden – ohne Abwägung (Art. 21 Abs. 2 DSGVO).

Praxisbeispiel: Newsletter-Abmeldung, aber Rechnungsdaten bleiben erhalten

Ein Kunde erhält regelmäßig einen Newsletter und möchte diesen nicht mehr bekommen. Er sendet eine Nachricht mit dem Betreff: „Ich widerspreche der Verarbeitung meiner Daten.“

Ein Unternehmen, das den Begriff missversteht, löscht nun versehentlich den kompletten Kundenaccount – inklusive aller Rechnungen, Buchungsunterlagen und Supportdaten.

➡️ Das ist nicht zulässig – denn:

• Die Newsletter-Einwilligung konnte widerrufen werden (Art. 7 Abs. 3 DSGVO)
• Die Rechnungsdaten hingegen werden auf Grundlage gesetzlicher Verpflichtungen (z. B. § 147 AO) verarbeitet – und dürfen/müssen weiter gespeichert werden
• Die Datenverarbeitung für Vertragsabwicklung ist nach Art. 6 Abs. 1 lit. b DSGVO zulässig

Was ist zu tun bei einem Widerspruch?

• Prüfen, auf welcher Rechtsgrundlage die betroffene Verarbeitung erfolgt
• Abwägen, ob das Interesse des Betroffenen überwiegt
• Nur wenn ja: Verarbeitung einstellen (nicht pauschal alles löschen)
• Ausnahme: Bei Werbung immer einstellen!
• Dokumentieren, wie der Widerspruch geprüft wurde

Fazit zu Irrtum 12

Nicht jeder Widerspruch bedeutet, dass alle personenbezogenen Daten sofort gelöscht oder nicht mehr verarbeitet werden dürfen. Die DSGVO sieht differenzierte Regelungen vor – je nach Rechtsgrundlage und Zweck der Verarbeitung. Wer vorschnell reagiert oder gar alles löscht, läuft Gefahr, gegen andere gesetzliche Pflichten zu verstoßen oder wichtige Geschäftsdaten zu verlieren.

Tipp:

• Legen Sie intern fest, wie mit Widerrufen und Widersprüchen umgegangen wird
• Schulen Sie Mitarbeitende, insbesondere im Kundenservice
• Stellen Sie sicher, dass Widersprüche eindeutig als solche erkannt und rechtlich korrekt bearbeitet werden

nach oben

13. Irrtum: „Der Datenschutzbeauftragte schützt mich vor Bußgeldern“

Warum dieser Irrtum besonders weit verbreitet ist

Viele Unternehmen glauben, mit der Benennung eines Datenschutzbeauftragten (DSB) sei die Pflicht zum Datenschutz weitgehend „ausgelagert“. Frei nach dem Motto: „Ich habe ja jemanden – der kümmert sich schon.“

Ein gefährlicher Irrtum. Denn: Ein Datenschutzbeauftragter ist nicht der Schutzschild gegen Sanktionen, sondern vielmehr der interne oder externe Berater für gesetzeskonforme Datenverarbeitung. Die Verantwortung und Haftung bleibt beim Unternehmen – nicht beim DSB.

Was ist die Rolle des Datenschutzbeauftragten?

Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 DSGVO geregelt. Dazu gehören u. a.:

• Unterrichtung und Beratung des Verantwortlichen und der Mitarbeitenden
• Überwachung der Einhaltung der DSGVO, des BDSG sowie interner Datenschutzvorgaben
• Beratung bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
• Zusammenarbeit mit der Aufsichtsbehörde
• Ansprechpartner für Betroffene und Behörden in Datenschutzfragen

Aber:

🔹 Der DSB ist nicht für die Umsetzung verantwortlich, sondern der Verantwortliche selbst.
🔹 Der DSB übernimmt keine Haftung für Verstöße, wenn seine Hinweise nicht beachtet werden.

Keine Schutzwirkung vor Bußgeldern

Weder die Benennung eines DSB noch seine existierende Beratung schützen ein Unternehmen automatisch vor Bußgeldern. Im Gegenteil:
Ein ignorierter Hinweis des DSB kann bei einer Prüfung sogar erschwerend wirken – weil das Unternehmen bewusst gegen Empfehlungen verstoßen hat.

Die Aufsichtsbehörden prüfen regelmäßig, ob der Verantwortliche den DSB angemessen einbindet und dessen Hinweise berücksichtigt.

Wird der DSB lediglich „pro forma“ benannt, aber nicht eingebunden – oder regelmäßig ignoriert –, haftet das Unternehmen vollumfänglich für Datenschutzverstöße.

Praxisbeispiel: Externer DSB wird ignoriert

Ein mittelständisches Unternehmen bestellt einen externen Datenschutzbeauftragten. Dieser stellt bei einer Prüfung fest:

• Es gibt kein aktuelles Verzeichnis der Verarbeitungstätigkeiten
• Auf der Website fehlt ein rechtssicherer Cookie-Banner
• Die Mitarbeiter wurden nie geschult, obwohl sensible Daten verarbeitet werden

Der DSB dokumentiert diese Mängel und empfiehlt konkrete Maßnahmen zur Abhilfe – schriftlich. Das Unternehmen lässt die Hinweise über Monate hinweg unbeachtet, da „es bisher ja keine Probleme gab“.

Dann meldet ein Kunde eine unzulässige E-Mail-Werbung bei der Aufsichtsbehörde. Die Prüfung offenbart die oben genannten Mängel – und die Hinweise des DSB.

➡️ Folge: Das Unternehmen erhält ein Bußgeld – trotz existierendem DSB. Die Behörde betont:
„Die Pflicht zur Umsetzung datenschutzrechtlicher Anforderungen liegt beim Verantwortlichen. Die Hinweise des DSB wurden missachtet – dies begründet die Fahrlässigkeit.“

Fazit zu Irrtum 13

Ein Datenschutzbeauftragter ist ein wichtiges Kontroll- und Beratungsorgan, aber kein Haftungspuffer. Wer glaubt, mit der bloßen Benennung eines DSB auf der sicheren Seite zu sein, verkennt die Struktur der DSGVO. Die Verantwortung bleibt immer beim Unternehmen selbst.

Tipp:

• Arbeiten Sie aktiv mit dem DSB zusammen – egal ob intern oder extern
• Dokumentieren Sie die Empfehlungen des DSB – und setzen Sie sie (zeitnah) um
• Lassen Sie sich beraten, aber übernehmen Sie als Unternehmen selbst die Verantwortung

nach oben

14. Irrtum: „Ein Bußgeld droht nur bei Absicht“

Warum dieser Irrtum gefährlich ist

Viele Unternehmen und Organisationen glauben, sie müssten sich keine Sorgen machen, solange keine vorsätzlichen Datenschutzverstöße vorliegen. Man habe es ja „nicht böse gemeint“ – und Fehler passieren eben.

Doch genau das reicht für ein Bußgeld bereits aus. Die DSGVO unterscheidet nicht zwischen vorsätzlichem und fahrlässigem Handeln, wenn es um Sanktionen geht. Auch Unwissen, Nachlässigkeit oder mangelnde Organisation können zu empfindlichen Geldbußen führen.

Was die DSGVO tatsächlich sagt

Die Rechtsgrundlage für Bußgelder findet sich in Art. 83 DSGVO. Dort heißt es u. a.:

„Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen [...] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“

Und weiter:

„Geldbußen werden [...] abhängig von den Umständen des Einzelfalls verhängt – auch bei fahrlässigem Verhalten.“

Das bedeutet:
Auch ohne böse Absicht, allein durch unterlassene Sicherung, unzureichende Prozesse oder unterlassene Reaktion, können Unternehmen voll haftbar gemacht werden.

Typische Fälle von Fahrlässigkeit

• Fehlende oder veraltete Datenschutzerklärung
• Unverschlüsselte E-Mails mit sensiblen Daten
• Kein Auftragsverarbeitungsvertrag mit Dienstleistern
• Ungepatchte Software mit bekannten Sicherheitslücken
• Fehlendes Löschkonzept trotz gesetzlicher Vorgaben
• Keine Schulungen für Mitarbeitende
• Unbekannte Risiken durch Tracking-Tools auf der Website

Auch wenn niemand „absichtlich“ die Daten gefährdet hat – fahrlässige Versäumnisse reichen für Sanktionen aus.

Beispiele aus der Praxis: DSGVO-Bußgelder wegen Nachlässigkeit (teilweise noch nicht rechtskräftig)

Einige der bekanntesten Datenschutz-Bußgelder in Deutschland basierten nicht auf Absicht, sondern auf organisatorischem Versagen oder mangelnder IT-Sicherheit:

Deutsche Wohnen SE – 14,5 Mio. € Bußgeld (2022)

• Grund: Fehlendes Löschkonzept – Altdaten von Mietern wurden jahrelang gespeichert, obwohl sie nicht mehr benötigt wurden
• Es handelte sich nicht um eine absichtliche Verletzung, sondern um strukturelle Versäumnisse
• Das Unternehmen konnte nicht erklären, warum die Daten noch vorhanden waren

H&M – 35,3 Mio. € Bußgeld (2020)

• Grund: systematische Protokollierung von Urlaubsplänen, familiären Problemen und Krankheiten von Mitarbeitenden in einem Servicecenter
• Die Führungskräfte hatten die Daten ohne Rechtsgrundlage in internen Systemen gesammelt
• Die Aufsichtsbehörde wertete dies als Verstoß gegen die Rechte der Beschäftigten – auch wenn kein böser Wille nachweisbar war

1&1 Telecom GmbH – 9,55 Mio. € Bußgeld (2019)

• Grund: Kundenservice gab personenbezogene Daten am Telefon heraus, obwohl die Authentifizierung unzureichend war
• Der Vorwurf: unzureichende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten (Art. 32 DSGVO)
• Auch hier ging es nicht um einen Hackerangriff oder Absicht, sondern um alltägliche Prozessmängel

Fazit zu Irrtum 14

Die DSGVO kennt kein „Wird schon gutgehen“-Prinzip. Auch fahrlässige Datenschutzverstöße – etwa durch Organisationslücken, fehlende Prozesse oder fehlendes Wissen – können mit Bußgeldern belegt werden. Entscheidend ist nicht, ob es Absicht war, sondern ob der Verantwortliche seinen Pflichten nachweislich nachgekommen ist.

Tipp:

• Dokumentieren Sie alle datenschutzrelevanten Entscheidungen und Maßnahmen
• Schulen Sie Mitarbeitende regelmäßig und passen Sie Prozesse laufend an
• Holen Sie sich bei Unsicherheit juristische oder fachliche Beratung – und setzen Sie die Empfehlungen auch um

nach oben

15. Irrtum: „Datenschutz ist reine Bürokratie und hemmt nur“

Warum dieser Irrtum kurzsichtig ist

Datenschutz wird von vielen Unternehmen noch immer als lästige Pflicht betrachtet: als Bürokratiemonster, Innovationsbremse oder Showstopper für Marketing. Die DSGVO gilt als Hemmschuh – nicht als Chance.

Doch das ist eine verkürzte Sichtweise. In Wirklichkeit kann Datenschutz – wenn richtig umgesetzt und kommuniziert – ein echter Wettbewerbsvorteil sein. Denn: Kunden, Geschäftspartner und Mitarbeitende legen zunehmend Wert auf Transparenz, Sicherheit und Vertrauenswürdigkeit.

Datenschutz als Vertrauensfaktor im Markt

In Zeiten digitaler Dauerverfügbarkeit und zunehmender Datenlecks ist Vertrauen eine der wertvollsten Währungen im Wettbewerb. Wer Datenschutz aktiv lebt und transparent kommuniziert, signalisiert:

• Wir nehmen deine Daten ernst
• Wir gehen verantwortungsvoll mit Informationen um
• Wir handeln fair, nachhaltig und rechtssicher

Das stärkt nicht nur das Markenimage, sondern kann auch zu höheren Abschlussraten, Kundenbindung und Empfehlungen führen.

Beispiel: Unternehmen mit transparenter Datenschutzstrategie

Ein Onlineshop weist im Bestellprozess nicht nur korrekt auf Datenschutzrichtlinien hin, sondern erklärt auch in einfachen Worten, warum bestimmte Daten benötigt werden, wie lange sie gespeichert werden und welche Rechte Kund:innen haben.

Ergebnis:

• Kaum Beschwerden zu Datenverarbeitung
• Weniger Rückfragen im Support
• Mehr Vertrauen und positive Bewertungen

Ein anderes Beispiel: Eine HR-Softwarefirma betont in ihrer Außendarstellung aktiv, wie sie mit Bewerberdaten umgeht, welche Verschlüsselung eingesetzt wird und dass keine Daten in Drittstaaten übermittelt werden.

Ergebnis:

• Höhere Abschlussquote bei B2B-Kunden
• Bessere Positionierung bei Datenschutz-affinen Zielgruppen

Studien zeigen: Datenschutz beeinflusst das Kaufverhalten

➡️ Bitkom-Studie (2021):

• 82 % der Internetnutzer sagen, sie würden keine Website nutzen, der sie in Sachen Datenschutz nicht vertrauen
• 75 % erwarten eine leicht verständliche Datenschutzerklärung

➡️ Cisco Consumer Privacy Survey (2022):

• 81 % der Befragten weltweit sagen, dass sie einem Unternehmen mehr vertrauen, das ihre Daten verantwortungsvoll schützt
• 39 % haben bereits den Anbieter gewechselt, weil sie Datenschutzbedenken hatten
• Kunden sind bereit, mehr Geld für Produkte zu zahlen, wenn sie dem Unternehmen in puncto Datenschutz vertrauen

➡️ PwC-Studie (2020):

• 85 % der Verbraucher wünschen sich mehr Kontrolle über ihre Daten
• 43 % würden einem Unternehmen nie wieder ihre Daten anvertrauen, wenn es einmal negativ aufgefallen ist

Datenschutz kann Prozesse verbessern

Viele Anforderungen der DSGVO (z. B. Löschkonzepte, Verarbeitungsverzeichnisse, klare Zuständigkeiten) führen nicht nur zu mehr Rechtssicherheit, sondern auch zu besseren Strukturen im Unternehmen:

• Wo liegen welche Daten?
• Wie lange werden sie benötigt?
• Wer darf darauf zugreifen?

Wer hier Ordnung schafft, profitiert doppelt:
✅ Datenschutzkonformität
✅ Optimierte Prozesse und weniger Fehlerquellen

Fazit zu Irrtum 15

Datenschutz ist mehr als nur Bürokratie – er ist ein strategischer Erfolgsfaktor. Unternehmen, die Datenschutz ernst nehmen, stärken ihr Image, vermeiden Krisen und gewinnen das Vertrauen von Kunden, Partnern und Mitarbeitenden.

Tipp:

• Kommunizieren Sie aktiv, was Sie beim Datenschutz tun
• Nutzen Sie Datenschutz als Teil Ihrer Positionierung und Kundenansprache
• Schaffen Sie intern klare Prozesse – das spart Zeit, Ressourcen und schützt vor Risiken

nach oben

Fazit: Was Unternehmen und Privatpersonen wirklich wissen sollten

Zusammenfassung der häufigsten Irrtümer

Der Blick auf die verbreiteten Rechtsirrtümer im Datenschutzrecht zeigt:
Viele Fehler entstehen nicht aus bösem Willen, sondern aus Unwissen, falschen Annahmen oder Unsicherheit. Die DSGVO ist komplex – aber sie ist kein unbezwingbares Monster. Entscheidend ist, sie richtig zu verstehen und nicht auf Mythen hereinzufallen.

Zu den häufigsten Irrtümern gehören:

• Die Annahme, dass Datenschutz nur für große Unternehmen gilt
• Die Verkennung dessen, was personenbezogene Daten wirklich sind
• Der Glaube, dass man nur mit Einwilligung auf der sicheren Seite ist – oder dass man nie eine braucht
• Fehlende oder falsche Reaktionen auf Widersprüche, Datenpannen oder Beschwerden
• Die Vorstellung, dass ein Datenschutzbeauftragter automatisch schützt – oder dass keine Strafe droht, solange keine Absicht vorliegt

Diese Missverständnisse führen dazu, dass entweder gar nichts getan wird – oder völlig überreagiert wird, etwa durch vorschnelle Löschungen oder übertriebene Vorsichtsmaßnahmen.

Handlungsempfehlungen: Was jetzt konkret zu tun ist

Damit Datenschutz nicht zur Gefahr, sondern zur Chance wird, sollten Unternehmen und Organisationen jetzt handeln:

✅ Datenschutzverständnis im Unternehmen fördern

Schulungen, Aufklärung, internes Bewusstsein schaffen – nicht nur in der IT, sondern auch in HR, Marketing und Vertrieb.

✅ Zuständigkeiten und Verantwortliche benennen

Wer ist wofür zuständig? Gibt es einen internen oder externen Datenschutzbeauftragten? Wird dieser aktiv eingebunden?

✅ Verarbeitungen dokumentieren

Verzeichnis der Verarbeitungstätigkeiten erstellen (Art. 30 DSGVO), Löschfristen festlegen, Prozesse klar regeln.

✅ Technisch-organisatorische Maßnahmen umsetzen

Zugangskontrollen, Verschlüsselung, Datenminimierung und regelmäßige Überprüfungen implementieren.

✅ Verträge prüfen und abschließen

Liegen alle nötigen Auftragsverarbeitungsverträge vor? Wurden Tools und Dienstleister rechtlich sauber eingebunden?

✅ Webseiten auf Datenschutzkonformität prüfen

Cookie-Banner, Datenschutzerklärung, Google Fonts, Analyse- und Werbetools rechtlich sauber einbinden.

✅ Reaktionsfähigkeit sicherstellen

Verfahren für Auskunfts-, Widerspruchs- und Löschanfragen sowie für Datenpannen und Betroffenenrechte etablieren.

Tipp zum Schluss:

Der wichtigste Schritt ist oft der erste:
🔍 Prüfen Sie, welche personenbezogenen Daten Sie verarbeiten
Klären Sie, wer für den Datenschutz zuständig ist
Dokumentieren Sie Ihre Prozesse, damit Sie bei Anfragen oder Prüfungen handlungsfähig sind

Fazit in einem Satz:

Wer Datenschutz nicht als Risiko, sondern als Qualitätsmerkmal versteht, gewinnt Vertrauen, Sicherheit und einen echten Marktvorteil.

nach oben

Checkliste: „Bin ich datenschutzsicher?“ – Selbsttest für Unternehmen, Kanzleien & Selbstständige

Diese ausführliche Checkliste hilft Ihnen dabei, den Status Ihres Datenschutzmanagements einzuschätzen. Sie ersetzt keine Beratung, bietet aber erste Orientierung.

1. Grundstruktur & Verantwortlichkeit

• ☐ Gibt es eine*n benannten Datenschutzbeauftragten (DSB)?
  → Pflicht unter anderem bei ≥ 20 regelmäßig datenverarbeitenden Personen oder Verarbeitung besonderer Datenarten (§ 38 BDSG, Art. 37 DSGVO)
• ☐ Ist der DSB korrekt bei der Aufsichtsbehörde gemeldet?
• ☐ Ist klar geregelt, wer im Unternehmen für Datenschutzprozesse verantwortlich ist?
  → Z. B. für Auskunftsersuchen, Datenpannen, Website-Pflege, interne Schulungen

2. Dokumentation & Übersicht

• ☐ Gibt es ein vollständiges und aktuelles Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO?
• ☐ Gibt es ein Löschkonzept mit definierten Speicher- und Löschfristen (nach HGB, AO, DSGVO)?
• ☐ Wird die Umsetzung des Datenschutzes dokumentiert (z. B. über Schulungen, AV-Verträge, TOMs, Prüfung von Anfragen)?
• ☐ Gibt es bei risikoreichen Verarbeitungen eine Datenschutz-Folgenabschätzung (DSFA) (Art. 35 DSGVO)?

3. Rechtmäßigkeit & Einwilligungen

• ☐ Liegen nachvollziehbare Rechtsgrundlagen für jede Verarbeitung vor (z. B. Art. 6 Abs. 1 lit. b, c oder f DSGVO)?
• ☐ Werden Einwilligungen wirksam eingeholt, dokumentiert und können sie widerrufen werden (Art. 7 DSGVO)?
• ☐ Werden Newsletter nur an Empfänger mit Double-Opt-in-Nachweis verschickt?
• ☐ Gibt es eine Widerspruchs- und Widerrufsstrategie, insbesondere für Werbemaßnahmen?

4. Website & Online-Tools

• ☐ Ist die Datenschutzerklärung DSGVO-konform, aktuell und leicht auffindbar?
• ☐ Wird ein konformer Cookie-Banner mit Opt-in eingesetzt (z. B. über Consent Management Tools)?
• ☐ Sind Google Fonts lokal eingebunden und keine Daten werden ohne Einwilligung an Google übermittelt?
• ☐ Werden Drittanbieter (z. B. Google Analytics, Meta, Mailchimp) transparent benannt und nur mit Einwilligung aktiviert?

5. Technisch-organisatorische Maßnahmen (TOMs)

• ☐ Gibt es ein rollenspezifisches Berechtigungskonzept für IT-Systeme?
• ☐ Werden personenbezogene Daten verschlüsselt gespeichert oder übertragen (z. B. E-Mails mit TLS oder PGP)?
• ☐ Gibt es regelmäßige Backups, Passwortschutz, Updates und Maßnahmen gegen unbefugte Zugriffe?
• ☐ Ist der Umgang mit privaten Geräten (BYOD) und mobilen Datenträgern geregelt?

6. Auftragsverarbeitung & Verträge

• ☐ Gibt es mit allen Dienstleistern, die Zugriff auf personenbezogene Daten haben, einen wirksamen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO?
• ☐ Werden Unterauftragsverhältnisse geprüft und freigegeben (z. B. Subdienstleister eines Cloudanbieters)?
• ☐ Wurden alle Anbieter in Drittstaaten (z. B. USA) auf ihre Rechtskonformität geprüft (inkl. Standardvertragsklauseln, Transfer Impact Assessment)?

7. Betroffenenrechte & Datenpannen

• ☐ Gibt es ein Verfahren zur Bearbeitung von Auskunfts-, Lösch-, Widerspruchs- und Übertragbarkeitsanfragen?
• ☐ Können solche Anfragen fristgerecht (innerhalb 1 Monats) beantwortet werden?
• ☐ Gibt es ein internes Meldeverfahren für Datenpannen, inkl. Fristen, Bewertung und Dokumentation (Art. 33 DSGVO)?
• ☐ Ist klar, wann und wie eine Meldung an die Aufsichtsbehörde erfolgt – und wann eine Benachrichtigung der Betroffenen notwendig ist?

8. Mitarbeitersensibilisierung & interne Prozesse

• ☐ Werden neue Mitarbeitende zum Datenschutz geschult (z. B. durch Unterweisungen, Schulungsvideos, Webinare)?
• ☐ Gibt es regelmäßige Datenschutz-Schulungen für bestehende Mitarbeitende?
• ☐ Sind interne Prozesse klar dokumentiert und für Mitarbeitende nachvollziehbar?

nach oben

Glossar: Die wichtigsten Datenschutzbegriffe im Klartext

Begriff	Erläuterung
Personenbezogene Daten	Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – z. B. Name, E-Mail, IP-Adresse, Kunden- oder Personalnummer.
Verantwortlicher	Die natürliche oder juristische Person, die über Zweck und Mittel der Verarbeitung entscheidet – z. B. ein Unternehmen, eine Behörde, ein Verein.
Auftragsverarbeiter	Eine externe Stelle, die Daten im Auftrag und auf Weisung des Verantwortlichen verarbeitet – z. B. IT-Dienstleister, Hoster, Steuerberater.
AV-Vertrag	Vertrag nach Art. 28 DSGVO, der Pflichten, Sicherheitsmaßnahmen und Rechte bei der Auftragsverarbeitung regelt. Pflicht, sobald Daten im Auftrag verarbeitet werden.
Einwilligung	Freiwillige, informierte, aktive und jederzeit widerrufbare Zustimmung einer betroffenen Person zur Verarbeitung ihrer Daten. Muss nachweisbar sein.
Widerruf	Rücknahme einer bereits erteilten Einwilligung – jederzeit ohne Begründung möglich. Danach darf die Datenverarbeitung nicht fortgesetzt werden.
Widerspruch	Recht, einer Datenverarbeitung zu widersprechen – etwa bei Direktwerbung oder Datenverarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO).
Pseudonymisierung	Daten werden durch ein Kürzel ersetzt – Rückbezug zur Person ist nur über einen separaten Schlüssel möglich. Die DSGVO gilt weiterhin.
Anonymisierung	Daten werden so verändert, dass kein Rückschluss auf eine Person mehr möglich ist – auch nicht durch Dritte. Dann gilt die DSGVO nicht mehr.
Rechenschaftspflicht	Pflicht des Verantwortlichen, nachweisen zu können, dass er DSGVO-konform arbeitet – z. B. über Dokumentation, Verträge, Schulungen.
Datenpanne	Jedes Ereignis, das zu Verlust, unberechtigtem Zugriff, Offenlegung oder Änderung personenbezogener Daten führt – z. B. E-Mail an falschen Empfänger, Cyberangriff.
Datenschutz-Folgenabschätzung (DSFA)	Risikoanalyse bei sensiblen oder risikobehafteten Datenverarbeitungen – z. B. Kameraüberwachung, KI-Systeme, Gesundheitsdatenverarbeitung.
Technisch-organisatorische Maßnahmen (TOMs)	Alle Sicherheitsmaßnahmen, um personenbezogene Daten zu schützen – z. B. Zugriffsrechte, Verschlüsselung, Firewalls, Schulungen.
Betroffenenrechte	Rechte der Personen, deren Daten verarbeitet werden: Auskunft, Löschung, Widerspruch, Berichtigung, Einschränkung, Datenübertragbarkeit.

Hinweis zum Schluss

Diese Checkliste und das Glossar sollen Ihnen helfen, einen ersten Überblick zu bekommen. Datenschutz ist kein Einmalprojekt, sondern ein kontinuierlicher Prozess, der sich an Technik, Rechtsprechung und Geschäftsmodellen ausrichten muss.

Unsere Empfehlung:
Nutzen Sie dieses Dokument als Einstieg – und holen Sie sich bei Bedarf professionelle Unterstützung. Denn: Guter Datenschutz schützt nicht nur Daten – sondern auch das Vertrauen in Ihr Unternehmen.